La mention du taux d'incapacité permanente ou du taux d'invalidité du « conjoint ou partenaire » et des personnes à la charge de l'agent n'est pas une donnée « relative à la santé » au sens des dispositions précitées de l'article 8 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dès lors qu'il n'est même allégué qu'elle donnerait une information sur la nature du handicap.

Dans le contexte d'une transmission de données à des partenaires en vue qu'ils les utilisent pour de la prospection commerciale, le recueil d'un consentement éclairé requiert en particulier d'informer les personnes concernées de l'étendue de la transmission de leurs données. À cet égard, des indications relatives au nombre et au secteur d'activité des partenaires rendus destinataires des données avant toute transmission sont de nature à éclairer les personnes concernées quant à l'utilisation ultérieure qui sera faite de leurs données.

La mention, dans un registre accessible au public, des noms du constituant, des bénéficiaires et de l’administrateur d'un trust fournit des informations sur la manière dont une personne entend disposer de son patrimoine. Il en résulte une atteinte au droit au respect de la vie privée. Or, le législateur, qui n'a pas précisé la qualité ni les motifs justifiant la consultation du registre, n'a pas limité le cercle des personnes ayant accès aux données de ce registre, placé sous la responsabilité de l'administration fiscale. Dès lors, les dispositions contestées portent au droit au respect de la vie privée une atteinte manifestement disproportionnée au regard de l'objectif poursuivi.

Un courrier de prospection commerciale doit être suffisamment précis dans l'indication de la source des données dont proviennent les prospects, cette information étant de nature à garantir un traitement équitable et transparent à son égard, en particulier dans un contexte de reventes successives de données entre multiples acteurs et dans l'hypothèse où le prospect souhaiterait exercer ses droits auprès du courtier en données dont il ignore l'identité. La seule mention que les données ont été collectées auprès d'un « organisme spécialisé dans l'enrichissement de données » n'est pas suffisamment précise et est susceptible de caractériser un manquement à l'information des personnes, au sens de l'article 14 du RGPD.

Il résulte des articles 13 et 15 du RGPD, des dispositions des titres II et III de la loi informatique et libertés relatives aux obligations d'information et au droit d'accès, et des dispositions du code de la sécurité intérieure régissant spécifiquement la vidéoprotection, notamment l'article R. 253‑6, que le responsable de traitement, s’il est tenu d’informer, d’une façon adaptée au contexte et aux objectifs poursuivis, sur l’existence de la vidéoprotection d’un territoire, d’une zone ou d’un bâtiment, et de fournir l’ensemble des mentions et informations prévues par ces textes, n’est pas tenu à ce titre de communiquer l’emplacement exact de chaque caméra. Ainsi, en l’espèce, la commune n’était pas tenue de fournir à la personne concernée une carte avec l'emplacement des caméras et des zones surveillées.

Le projet de décret étend la liste des nationalités éligibles au dispositif PARAFE aux ressortissants de cinq États tiers à l’entrée et à l’ensemble des ressortissants de pays tiers, sans condition de nationalité, à la sortie.

La CNIL estime que ces évolutions apparaissent légitimes au regard du besoin opérationnel invoqué. Elles entraînent néanmoins une augmentation du volume de données traitées et de personnes concernées par le traitement. Dès lors, une attention particulière devra être portée aux modalités d’information concrètes de mise en œuvre du traitement, s’agissant notamment de l’information des personnes. La CNIL souligne que l’obligation d’informer les personnes pèse sur le responsable de traitement. Outre les mesures déjà prévues (éléments de communication comportant des mentions obligatoires, tenue d’audits…), des mesures supplémentaires devraient être déployées pour garantir que les gestionnaires fournissent, au moment de la collecte, l’ensemble des informations énumérées à l’article 13 du RGPD.

Pour assurer l’effectivité des droits des personnes, l’information sur le traitement doit, en outre, être complétée d’éléments relatifs:
- au caractère facultatif, prévu par l’article R. 232‑6 du CSI, du recours au sas PARAFE pour le franchissement des frontières;
- et – le cas échéant – à l’articulation de PARAFE avec d’autres dispositifs de facilitation des contrôles.

Enfin, l’information fournie à la frontière et disponible sur les sites web précités devrait être traduite en plusieurs langues. La CNIL constate qu’elle devrait être traduite a minima en anglais et accompagnée de pictogrammes.

2) L’article R. 232‑8 du CSI prévoit que les données collectées sont « traitées à la seule fin de permettre l’authentification biométrique du voyageur et la consultation prévue à l’article R. 232‑9, permettant le contrôle aux frontières ». Autrement dit, les données alphanumériques collectées sont utilisées pour consulter, dans le cadre des contrôles prévus par le règlement (UE) 2016/399: le fichier des personnes recherchées, le système d’information Schengen et le fichier des documents de voyage volés et perdus d’Interpol. Ces traitements font alors l’objet d’une mise en relation avec PARAFE.

Le projet de décret supprime la mention des traitements consultés et prévoit, en conséquence, que les données sont traitées non plus pour la consultation de ces derniers, mais pour « la collecte des données nécessaires aux contrôles aux frontières ».

La CNIL ne remet pas en cause l’absence d’obligation de mentionner, au sein du projet de décret, les mises en relation. Elle rappelle néanmoins que, dans certains cas particuliers, leur mention peut constituer une bonne pratique, notamment lorsque les finalités principales du traitement sont étroitement liées à quelques mises en relation particulières. La transparence vis‑à‑vis du public quant aux conditions de mise en œuvre de ces opérations participe également de l’équilibre entre l’objectif poursuivi par les traitements en cause et le respect de la vie privée des personnes concernées (sur ce point, v. CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021‑061, publié). Au regard de ces éléments, la CNIL recommande de maintenir, au niveau du décret, la mention des mises en relation. À défaut, elle recommande vivement au ministère de décrire sur son site web l’ensemble des mises en relation réalisées avec d’autres traitements.

L'acte réglementaire créant un traitement de données à caractère personnel ne peut en principe, en ce qui concerne la nature des données à caractère personnel susceptibles d'être enregistrées, renvoyer à un arrêté ministériel. Mais le Conseil d'État constate que la CNIL a pu, dans le cadre de l'avis qu'elle a rendu sur le projet de décret, prendre naissance du contenu de l'arrêté auquel renvoyait le projet. Il estime dès lors qu'il était possible de mentionner dans le décret lui‑même les catégories de données prévues, et qu'elles seront précisées par un arrêté ministériel.

1) La catégorie de données éléments issus des constatations et investigations strictement nécessaires à la conduite et à la résolution de la procédure judiciaire est en principe trop imprécise pour fournir un encadrement satisfaisant à un traitement régi par un acte réglementaire. Néanmoins, dans le cas particulier d’un logiciel de rédaction d’actes relatifs aux faits les plus divers en lien avec toutes les procédures auxquelles participe la gendarmerie nationale, et eu égard à la difficulté particulière qui s’attache à l’énumération de toutes les catégories de données à caractère personnel pouvant être traitées dans un tel cadre, une telle formulation peut être admise. 2) a) Une mise en relation de traitements ne constitue pas en elle‑même une finalité d’un traitement, qui devrait alors figurer expressément dans l’acte réglementaire en autorisant la mise en œuvre, mais un moyen concourant à une finalité du traitement. Lorsque la mise en relation avec un autre traitement poursuit une finalité propre et distincte des finalités précisées dans l’acte autorisant la mise en œuvre du traitement en cause ou lorsque cette mise en relation constitue l’unique finalité de ce traitement, les articles 4 et 35 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés imposent de mentionner l’objet de ces mises en relation dans l’acte réglementaire de manière suffisamment explicite et précise. b) Si la liste de toutes les interconnexions, rapprochements ou autres mises en relation ne doit pas nécessairement figurer dans l’acte autorisant la création d’un traitement, leur mention peut néanmoins constituer une bonne pratique dans certains cas particuliers, notamment lorsque ces mises en relation sont étroitement liées aux finalités du traitement concerné. À défaut d’une telle mention, il est recommandé aux responsables de traitements autorisés par acte réglementaire, en particulier pour les traitements correspondant à des bases de données importantes, de décrire sur leur site web l’ensemble des mises en relation réalisées avec d’autres bases de données. c) Lorsque des traitements mis en relation sont encadrés par des actes réglementaires, la mise en relation doit respecter les dispositions régissant les traitements concernés, que cette mise en relation soit ou non mentionnée dans les actes autorisant la création de ces traitements. En particulier, l’opération de mise en relation doit être conforme aux finalités, aux catégories de données et aux accédants ou destinataires fixés par les actes réglementaires concernés. Pour être licite, le transfert de données d’une base vers une autre doit ainsi s’inscrire ou concourir aux finalités poursuivies par la base d’origine ou à celles associées aux transmissions à des destinataires ; les données transférées doivent être autorisées à figurer dans la base de destination et au moins une personne habilitée à alimenter la base de destination doit constituer un accédant ou un destinataire de la base d’origine.

Il ne résulte pas des dispositions des articles 29 et 32 de la loi du 6 janvier 1978 que l'acte portant création d'un traitement de données à caractère personnel doive mentionner les modalités d'information des personnes dont les données sont recueillies.

La seule circonstance qu'un avis rendu par la CNIL ne comporte que la signature de son président ne suffit pas à établir qu'il n'aurait pas été rendu en formation plénière dès lors qu'aucune disposition ni aucun principe n'impose d'autres signatures ni ne prévoit de mentions obligatoires devant assortir l'avis. Lorsque l'avis a la forme d'une « délibération » et mentionne qu'il a été rendu par la Commission, il ne saurait être regardé, en l'absence d'élément contraire, comme émanant du seul président de la commission.